Блог P1ratRuleZZZ

аўтарызуемся апаратна. Знаёмімся з FIDO U2F

Прэлюдыя

У наш час пароляў становіцца ўсё больш, а сбрутфорсить лёгкі пароль не складае працы, нават калі будзе ўсплываць час ад часу капчу, рашэнне якой можна даручыць індусам праз адмысловыя сэрвісы, якія прадстаўляюць API для гэтай справы. Увогуле, бяспека гарантаваць складаней. Нават з вельмі моцным і доўгім паролем падбор магчымы, а ўжо калі не падбор, то любой школьник в наше время может додуматься и написать собственный а-ля “троян” или кейлоггер или расширение в браузер, якое будзе адсочваць старонку і выцягваць паролі з формаў. Хутчэй за ўсё, толькі што якая выйшла праграма не будзе перахопленая ніякім антывірусам датуль, пакуль хто-то не адправіць шкоднасны бінарнік на праверку, і яго сігнатура не будзе дададзеная ў базу.

СМС – не панацея?

Вернемся зноў да пароляў. Сложные пароли придумывать — это дело непростое, а ўжо пра іх запамінанне наогул варта прамаўчаць. існуе рашэнне, званае двухфакторную аўтэнтыфікацыяй (2FA), заключаецца яно ў тым, што для ўваходу ў рахунак пасля ўводу звычайнай пары лагін / пароль запытваецца дадатковае дзеянне, наиболее популярно в наши дни — ввод кода с СМС, паколькі менавіта гэты спосаб пацверджання выкарыстоўваецца ў банк-кліентах. Чым дрэнны гэты метад? здавалася б, у кожнага ёсць тэлефон, і ён з'яўляецца асабістым сродкам, таму павінна быць бяспечным. аднак, калі ж вы трапіце прафесійным ашуканцам, тыя знойдуць спосаб атрымаць доступ да вашага тэлефоне і вельмі лёгка змогуць палазіць па сэрвісаў, на якіх ваш рахунак прывязаны да тэлефона, а яшчэ і перапіску Telegram ўскрыюць (нататка: телеграм захоўвае ўсё перапіскі з прывязкай да нумара тэлефона. Толькі сакрэтныя перапіскі не захоўваюцца, калі верыць стваральнікам). Больш падрабязна на тэму небяспекі можна будзе пачытаць у артыкуле на хабрхабрхабрхабрхабрхабахаб….блабла. І, дарэчы кажучы, на смартфонах Android некаторыя праграмы могуць чытаць смс паведамленні, таму іх можна лёгка перахапіць, калі прымусіць ахвяру ўсталяваць спецыяльны дадатак і даць яму доступ да СМС.

праграмная 2FA

З другога боку, SMS з'яўляецца даволі надеждным спосабам аўтарызацыі, але вось зручны Ці ён? І як жа быць, калі тэлефон згублены, а доступ да акаўнта атрымаць трэба тэрмінова? або, напрыклад, трэба пацвердзіць ўваход у рахунак з склепа, дзе ні адна сотавая сетка не ловіць? Многія сэрвісы ўводзяць падтрымку прыкладанняў аўтарызацыі, напрыклад, Google Authentificator, або Duo. аднак, абодва прыкладання не асабліва зручныя, паколькі не робяць бэкапаў і немагчыма выкарыстоўваць на некалькіх прыладах, і не просяць пинкода пры ўваходзе, таму ёсць выдатнае рашэнне для праграмнага 2FA. Але не варта забываць майстар пароль! І абавязкова захоўваеце рэзервовыя коды ад сэрвісаў дзесьці ў раздрукаваным выглядзе на паперы ў шафе або сейфе (усё залежыць ад узроўню памятаем). Ну альбо яшчэ дзе-то ў надзейным месцы, але каб у выпадку чаго для вас гэта месца было даступна. Праграмная двухфакторную аўтэнтыфікацыя зручная, можна выкарыстоўваць любы упадабанае прыкладанне, а также есть возможность использовать аппаратные OTP токены — брелки с USB и/или дисплеем, на якім адлюстроўваецца пароль ( у выпадку, если дисплея нет — эмулируется USB клавиатура и по нажатию на кнопку брелок сам вводит одноразовый пин-код в поле).

Апаратная аўтэнтыфікацыі FIDO U2F

Нейкі альянс FIDO, які складаецца з членаў арганізацый Google, Paypal, Mastercard і іншых вядомых брэндаў, вырашылі спрасціць аўтарызацыю дапамогай універсальнай аўтэнтыфікацыі U2F. Як жа яно працуе?

  1. Карыстальнік аўтарызуецца пасродкам звычайнага лагіна і пароля
  2. Сервер спецыяльны перадае запыт браўзэру
  3. Браўзэр ж перадае запыт на USB токен з падтрымкай FIDO U2F
  4. Той у сваю чаргу чакае націску на кнопку або на сэнсар ( можа быць, ўвод пинкода, калі там ёсць, чым уводзіць пинкод) і адпраўляе пацверджанне браўзэру, а браўзэр серверу, пасля чаго сервер дазваляе ўваход

Купіць і наладзіць такі токен лёгка. каштуе ад 20 да 50 даляраў ЗША. Самый популярный из них — это yubico, аднак у Расіі, мяркуючы па ўсім, больш не прадаецца (санкцыі?). Гэтыя токены наварочаныя, таксама на борце маюць OTP генератары, падтрымку Bluetooth і NFC, што дае магчымасць працаваць таксама на планшэтах і смартфонах. У Расеі ж кампанія Аладзіна-РД proizvodit прадукт JaCarta u2f, які выдатна працуе па гэтым пратаколе. Я набыў сабе такі і адразу ж сутыкнуўся з праблемай працы ў асяроддзі Linux ( Ubuntu 14.04, у маім выпадку ). На Windows жа ўсё зарабіла выдатна. аказваецца, гэта праблема правоў доступу ў лінукс: толькі рут карыстальнік мае права карыстацца прыладамі, вызначыць як FIDO token.

Вырашаецца праблема даволі проста:

  1. спампоўваем гэты файл
  2. Змяшчаем яго ў /і г.д. / Udev / rules.d /
  3. Магчыма, варта дадаць канкрэтна ваш ProductID ў спіс. Для гэтага
     sudo lsusb -l
    

    Атрымліваем спіс USB девайсов ў выглядзе idVendor:idProduct. Шукаем свой девайс ў спісе і вставляем адпаведныя idVendor і idProduct ў той файл апошнім радком, скапіяваным з любой наяўнай. Пасля перазагрузкі кампутара правы ўступяць у сілу і стане магчымым выкарыстоўваць токен ў браўзэры Google Chrome (і ў іншых праграмах, якія працуюць ад імя карыстальніка).

    падрабязная інструкцыя тут.

Дзе і як прымяняць

Спасылкі па тэме

Exit mobile version